手工杀毒的一些心得(3)

病毒侵入计算机后，通常都会实现自启动。找到并清除其自启动项将极大的限制其危害。通常最简单的方法是系统自带的“系统配置实用程序”。在运行里输入msconfig回车，在启动标签里，显示了一部分的系统启动项目，通过简单的勾选可以选择要启动的项目。然而对于系统本身来说，这里没有一个启动项是必须的，可以全部去掉也没什么关系。通常的做法是保留ctfmon(系统输入法)，选择保留其他的自己的程序。

更加多的启动项就要到注册表里寻找了。运行regedit启动注册表编辑器，查找定位到一些启动位置看看是否又异常。以比较常见的位置来说，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\下的Run、RunOnce、RunOnceEx、RunOnce\Setup、RunServices、RunServicesOnce以及HKEY_CURRENT_USER分支下对应的这些位置，都可以被利用，其中又尤以Run下的改动最为常见。事实上msconfig所列出的也就是注册表里的东西。另外还有HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run及HKEY_CURRENT_USER对应位置等，网上搜索应可以找到一些更加偏的位置，虽然同样可以利用，但是通常比较少见。而对于“C:\Documents and Settings\用户名\开始菜单\程序\启动”里的所有快捷方式，系统会自动启动。这可以方便的先自己希望自启动的程序。此位置并不常被利用，但还是要留意下。更详细的启动项位置关系可以google下，知道了启动的顺序、作用可以更清楚地了解这个过程，在此不再复述。
对于可疑的自启动项，可以直接删除。并且还要对注册表全面关键字搜索，直接确定的就删除，无法确定的就上网查找信息。而在修改之前，对于犹如系统数据库般的注册表，同样要本着备份的思想。备份的方法是在注册表编辑器里右击要备份的分支，然后“导出”。现在形形色色注册表备份工具，也给注册表的备份和恢复提供了便利。

运行services.msc可以启动系统服务配置。如果病毒成功的获取了系统权限，成功的注册成了系统服务，那么这里也是不能放过的。通常在这里优化系统的服务可以减少必要的进程从而达到优化系统的目的。这些服务设置为自动则会在开机时自启动，设置为手动则是在必要是调用启动。对于危险项(比如Remote Registry)则通常是禁用的。

病毒注册成服务后，有些很明显，没有描述启动位置也很可疑，有些则会伪装。下图是我以前遇到过的一个例子，这让人想起了进程里的伪装，虽然拙劣但是用心良苦。

修改服务时，最好也做好备份，可以导出注册表对应分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。